Bisakah VPN Itu Diretas? Kita Menggali Lebih Dalam Lagi

Kami menggali lebih dalam lagi pada spesifikasi VPN dan sekiranya ada suatu kerentanan bentuk apa pun untuk dimasuki para peretas.

Apakah VPN itu?

Sebuah Jaringan Privat Virtual (VPN) memungkinkan Anda untuk mendapatkan kanal virtual melewati internet ke jaringan atau perangkat lain. Jika Anda mengakses internet dari kanal virtual ini, akan sulit bagi siapa saja termasuk ISP Anda untuk mengintai aktivitas jelajah Anda.

VPN juga membantu Anda untuk menyamarkan lokasi Anda di mana saja di seluruh dunia dan membuka kunci layanan dengan pembatasan menurut geografis. VPN memproteksi kerahasiaan (data tetap rahasia) dan integritas (data tetap tidak berubah) atas pesan-pesan selama perjalanannya melalui internet publik.

Membentuk salah satu koneksi aman ini relatif mudah. Pertama pengguna menyambung ke internet melalui ISP dan kemudian memulai koneksi VPN dengan server VPN menggunakan perangkat lunak klien (terpasang secara lokal). Server VPN menjemput halaman web yang diminta dan kembali ke pengguna melalui kanal aman; dengan begitu, menjaga data pengguna tetap aman dan privat melalui internet.

Bagaimana Cara Kerja Enkripsi VPN?

Protokol VPN merupakan seperangkat aturan yang disepakati bersama untuk transmisi dan enkripsi data. Sebagian besar penyedia VPN memberikan pengguna opsi untuk memilih di antara beberapa protokol VPN. Beberapa protokol yang paling banyak digunakan antara lain: Point to Point Tunnelling Protocol (PPTP/Protokol Kanalisasi Titik ke Titik), Layer Two Tunnelling Protocol (L2TP/Protokol Kanalisasi Lapis Kedua), Internet Protocol Security (IPSec/Keamanan Protokol Internet) dan OpenVPN (SSL/TLS).

Untuk memahami sepenuhnya bagaimana VPN memproteksi privasi Anda, kita perlu menggali sedikit lebih dalam ke ilmu enkripsi. VPN menggunakan sebuah teknik yang dikenal dengan nama ‘enkripsi’ untuk membuat data Anda yang dapat dibaca (teks biasa) menjadi benar-benar tidak dapat dibaca (teks tersandikan) oleh siapa saja yang menangkapnya selama teks ini menempuh perjalanan melalui internet. Sebuah algoritme atau sandi memerintahkan bagaimana proses enkripsi dan dekripsi berlangsung di dalam protokol VPN. Protokol VPN memanfaatkan algoritme kriptografi ini untuk mengaburkan data Anda dalam rangka menjaga aktivitas penjelajahan Anda tetap pribadi dan rahasia.

Masing-masing dari protokol VPN ini mempunyai kekuatan dan kelemahannya sendiri tergantung dari algoritme kriptografi yang diterapkan di dalamnya. Beberapa penyedia VPN memberikan pengguna opsi untuk memilih di antara beberapa sandi rahasia. Algoritme atau sandi rahasia ini dapat berdasarkan pada salah satu dari tiga klasifikasi berikut: simetris, asimetris, dan hashing/pengacauan.

Enkripsi simetris menggunakan satu kunci untuk mengunci (enkripsi) dan kunci lainnya untuk membuka kunci (dekripsi) data. Enkripsi asimetris menggunakan dua kunci, satu untuk mengunci (enkripsi) dan kunci lainnya untuk membuka kunci (dekripsi) data. Tabel di bawah ini adalah ringkasan perbandingan antara enkripsi Simetris dan Asimetris.

Atribut Simetris Asimetris
Kunci Satu kunci dibagikan di antara beberapa entitas Satu entitas memiliki kunci publik, yang lainnya memiliki kunci privat
Pertukaran kunci Memerlukan mekanisme aman untuk mengirim dan menerima kunci Kunci privat dirahasiakan oleh pemiliknya sedangkan kunci publik tersedia untuk siapa saja
Kecepatan Agak kurang kompleks dan lebih cepat Lebih kompleks dan lebih lambat
Kekuatan Tidak terlalu sulit dipecahkan Lebih sulit dipecahkan
Skalabilitas Skalabilitas baik Skalabilitas lebih baik
Penggunaan Enkripsi jumlah besar dengan kata lain semuanya Hanya distribusi kunci dan tanda tangan digital
Sajian layanan keamanan Kerahasiaan Kerahasiaan, autentisitas dan non-repudiasi
Contoh DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 dan RC6 RSA, ECC, DSA, dan Diffie-Hellman

Kriptografi asimetris merupakan solusi untuk keterbatasan yang tidak dapat dipisahkan dari kriptografi simetris (seperti ditunjukkan dalam tabel di atas). Whitfield Diffie dan Martin Hellman adalah di antara kelompok pertama yang berusaha mengatasi kekurangan tersebut dengan mengembangkan sebuah algoritme asimetris yang disebut Diffie-Hellman.

Diffie-Hellman merupakan sebuah algoritme kriptografi populer yang fundamental bagi banyak protokol VPN mencakup HTTPS, SSH, IPsec, dan OpenVPN. Algoritma ini memungkinkan dua pihak yang belum pernah bertemu sebelumnya untuk menegosiasikan sebuah kunci rahasia meskipun saat berkomunikasi melalui saluran publik yang tidak aman seperti Internet.

Hash merupakan enkripsi satu arah (tak dapat diubah) yang digunakan untuk memproteksi integritas data yang ditransmisikan. Sebagian besar protokol VPN menggunakan algoritme hashing untuk memverifikasi autentisitas pesan yang dikirimkan melalui VPN. Contohnya termasuk MD5, SHA-1, dan SHA-2. Baik MD5 atau SHA-1 dianggap sudah tidak aman lagi.

VPN dapat diretas, tetapi sangat sulit melakukan itu. Peluang untuk diretas tanpa VPN jauh lebih besar daripada diretas saat memakainya.

Sebenarnya bisakah seseorang Meretas ke dalam VPN?

VPN tetap menjadi satu dari cara paling efektif untuk menjaga privasi online. Namun demikian, penting untuk dicatat bahwa cukup banyak segala sesuatunya yang dapat diretas terutama jika Anda sangat menghargai target dan lawan Anda memiliki cukup waktu, dana, dan sumber daya. Berita baiknya adalah kebanyakan pengguna termasuk dalam kategori “bernilai tinggi” karena itu sangat tidak mungkin untuk disingkirkan.

Meretas ke dalam koneksi VPN melibatkan bukan hanya memecahkan enkripsinya dengan mengambil keuntungan dari kerentanan yang diketahui tetapi juga mencuri kuncinya dengan cara-cara yang tidak jujur. Serangan kriptografi digunakan oleh para peretas dan kriptoanalis untuk mendapatkan teks polos dari versi enkripsinya tanpa kunci. Namun, memecahkan enkripsi secara komputasi sangat tidak mudah dan memakan waktu, dan perlu waktu bertahun-tahun untuk dikerjakan.

Sebagian besar upaya yang dicurahkan biasanya untuk mencuri kunci yang jauh lebih mudah daripada memecahkan enkripsi. Umumnya inilah apa yang dilakukan para agen mata-mata ketika dihadapkan dengan tentangan seperti itu. Keberhasilan mereka dalam melakukan ini bukanlah dengan ilmu pasti, tetapi dengan kombinasi teknik tipu daya, kemampuan komputasi, kecurangan, perintah pengadilan dan bujuk rayu di belakang layar (pintu belakang). Matematika di belakang enkripsi luar biasa kuat dan rumit secara komputasi.

Eksplorasi dan Kerentanan VPN yang Ada

Sebelum pengungkapan rahasia oleh sang pembongkar kebobrokan AS Edward Snowden dan yang telah ditunjukkan oleh para periset keamanan bahwa badan intel AS (NSA) melakukan pemecahan kode di belakang lalu lintas data internet yang kemungkinan berjumlah sangat besar, termasuk juga VPN. Dokumen Snowden menunjukkan bahwa infrastruktur dekripsi VPN milik NSA mencakup pencegatan lalu lintas data terenkripsi dan meneruskan sebagian data ke komputer berkemampuan tinggi, yang kemudian akan menghasilkan kuncinya.

Periset keamanan Alex Halderman dan Nadia Heninger juga menyajikan hasil riset meyakinkan yang memberi kesan memang NSA mengembangkan kemampuan untuk mendeksipsi sejumlah besar lalu lintas HTTPS, SSH, dan VPN dalam sebuah serangan yang dikenal sebagai Logjam atas implementasi umum pada algoritme Diffie-Hellman.

Keberhasilan mereka berdasarkan pada eksplorasi kelemahan dalam implementasi algoritme Diffie-Hellman. Akar permasalahan kelemahan ini adalah perangkat lunak enkripsi menggunakan standardisasi angka prima dalam implementasinya. Para peneliti memperkirakan akan diperlukan waktu sekitar satu tahun dan beberapa ratus juta dolar untuk membangun komputer sangat kuat yang akan mampu memecahkan 1024 bit tunggal primer Diffie-Hellman (yang masih berada dalam anggaran belanja tahunan NSA).

Namun sayangnya, kebetulan sekali hanya ada beberapa angka prima (kurang dari 1024 bit) yang umumnya digunakan dalam penerapan enkripsi dalam kehidupan nyata seperti VPN – sehingga membuatnya semakin mudah untuk dipecahkan. Menurut Bruce Schneier, “matematikanya bagus, tetapi matematika tidak memiliki agen. Kode memiliki agen, dan kode telah ditumbangkan”.

Apakah Sebaiknya Anda Tetap Memakai VPN?

Bagi penyedia layanan, tim riset merekomendasikan penggunaan 2048-bit atau lebih kunci Diffie-Hellman dan juga memublikasikan sebuah panduan untuk penyebarnya di TLS. Internet Engineering Task Force (IETF) juga merekomendasikan penggunaan revisi terbaru protokol yang memerlukan angka prima lebih panjang.

Para mata-mata mungkin mampu memecahkan angka prima yang umum digunakan dalam kunci Diffie-Hellman hingga panjang 1024 bit (sekitar 309 digit). Angka prima dalam kunci 2048 bit akan benar-benar menjadi sumber sakit kepala bagi mereka, artinya para spion itu tidak akan mampu mendekripsi data yang diamankan dengan kunci tersebut dalam waktu sangat lama.

Bagi para pengguna, meskipun benar badan spionase memiliki agenda sendiri menghadapi VPN dan protokol enkripsi lainnya yang digunakannya untuk menyasar lalu lintas data terenkripsi, Anda akan tetap terproteksi dengan lebih baik daripada jika Anda berkomunikasi dengan teks polos. Sekalipun komputer Anda bisa terancam, hal itu akan mengorbankan waktu dan uang mereka – akan jadi terlalu mahal bagi mereka. Semakin wajar Anda, semakin aman bagi Anda.

Menurut Edward Snowden, “Enkripsi sudah berfungsi. Mengimplementasikan dengan benar sistem kripto yang kuat adalah salah satu dari beberapa hal yang dapat Anda andalkan.” Sebisa mungkin, hindari VPN yang semata-mata berdasarkan pada algoritme hashing/pengacauan MD5 atau SHA-1 dan protokol PPTP atau L2TP/IPSec. Carilah mereka yang mendukung versi OpenVPN saat ini (dianggap sangat aman) dan SHA-2. Bila tidak yakin VPN Anda menggunakan algoritme mana, gunakan referensi dokumentasi VPN atau hubungi bagian dukungan mereka.

VPN adalah teman Anda. Mempercayai enkripsi, mempercayai juga matematika. Maksimalkan pemanfaatannya, dan lakukan yang terbaik guna menjamin titik ujung Anda juga terproteksi. Dengan cara itu Anda bisa tetap aman meskipun di ambang pemecahan koneksi terenkripsi.

Bermanfaatkah ini? Bagikan!